雑記 > Zbot SpyEye Vawtrakウイルス

PR 国内メーカー東芝の直販 − お安い4万円台から新品ノートPCがー! ウェブ限定・送料無料

Zbot SpyEye Vawtrakウイルスの感染経路と対策 【ネットバンク不正送金被害】

このエントリーをはてなブックマークに追加

ネットバンキングクレジットカード会社の正規サイトにログインした後、暗証番号/乱数表/合言葉といった情報を送信させる偽画面偽入力欄が表示される事例が話題になってます。

情報を送信してしまったユーザーの預金が、他人の口座へ送金されたり引き出される事態も確認されてるそうです。また、盗まれた預金を海外に送金するマネーミュールの人材を募集する迷惑メールも確認されてます。

ネットバンキング:不正送金被害が1315件14億円に
警察庁は30日、インターネットバンキングの口座から貯金が知らない間に別口座に移される不正送金事件について、2013年の被害が1315件、14億600万円に上ったと発表した。海外への送金に使われた口座の6割以上が日本人名義だったことも判明。同庁の担当者は「日本人が犯行グループの手足として使われている。どんな事情があっても加担してはいけない」と注意を促している。
同庁によると、被害にあったのは32金融機関の口座で、利用者は全都道府県に及ぶ。ゆうちょ▽みずほ▽三菱東京UFJ▽楽天▽三井住友の5行で被害総額の約86%を占めた。被害額は統計のある11年以降最多で、前年の約30倍となった。 (毎日新聞、2014年1月)

偽画面を表示させる正体は Zbot SpyEye Citadel Vawtrak

これは、ユーザーが使ってるWindowsパソコンが機密情報を盗みとるトロイの木馬ウイルスZeuS(ゼウス)/Zbot(ゼットボット)、SpyEye(スパイアイ)に感染してることが原因と分かってます。

不正画面に暗証番号などが入力されたのは、8つの金融機関で300件以上。
このうち不正送金の被害があったのは6件で、なぜかすべて月曜日と火曜日に集中している。月曜日に不正送金されたのは、みずほ銀行と三井住友銀行で、顧客のパソコンは「ゼウス」と呼ばれるウイルスに感染していた。一方、火曜日は「スパイアイ」と呼ばれるウイルスに感染した楽天銀行とゆうちょ。 (MSN産経ニュース、2013年1月)

ZeuS(画像)や SpyEye(画像)は、どちらもロシア製のウイルス作成ツールです。これ以外に、Zeusをベースにした派生のウイルス作成ツールCitadel(シタデル、画像)やKINSが知られてます。

また、2014年にはVawtrak(ボートラック)というウイルス感染被害が日本で報告されてます。

ネットバンキングウイルス検出名の例
- ZeuS/Citadel/KINS SpyEye Vawtrak(Neverquest)
シマンテック Trojan.Zbot
Trojan.Zbot!gen*
Trojan.Snifula
Trojan.Snifula!gen*
トレンドマイクロ TSPY_ZBOT
TROJ_ZBOT
TSPY_SPYEYE
TROJ_SPYEYE
BKDR_VAWTRAK
TROJ_VAWTRAK
TROJ_PAPRAS
マイクロソフト PWS:Win32/Zbot
PWS:Win32/Zbot.gen!*
Win32/EyeStye Backdoor:Win32/Vawtrak
Behavior:Win32/Vawtrak.gen!*

Behavior:Win32/MpTamperSrp

作成ツールということでウイルスは無限に生み出されるワケで、このようなセキュリティソフトたちの検出をなるべく回避すべく亜種がどんどん投入され、セキュリティ会社とウイルス攻撃者の”イタチごっこ”になってます。

Zeus/Zbot動作概要 不審なメール閲覧 不審なリンククリック 改ざんサイト閲覧 指令サーバーC&C接続 設定ファイルダウンロード ネットバンク接続で不正コード注入
警察庁 @police 講演資料「情報セキュリティ事案の現状 2013年6月24日、26日」から引用

感染マシンを管理する指令サーバーのコントロールパネル ログイン画面 : ZeusCitadel

Webinject(Webインジェクション)

このウイルスには、Webinject(Webインジェクション)という機能が用意されてます。

ブラウザの画面内に表示されてる正規サイトに、攻撃者が用意した任意のデータを注入でき、たとえば偽のポップアップ画面を表示したり、偽の入力欄を用意したりできるようです。

この攻撃は何年も前から欧米地域で確認されてたみたいで、2012年に日本人を対象としたものが本格上陸となった形です。

銀行などを装った偽メールから特定ページへ誘導するフィッシング詐欺とは異なり、ブラウザのアドレスバーはいちおう正真正銘ホンモノのURLということで、ユーザーは気付きにくいという怖さがあります。

警察庁によると、9日夜の時点で偽画面に関する連絡や相談は大手都銀やネット銀行など7金融機関で計448件あり、うち364件では顧客が個人情報を入力していた。 (朝日新聞、2012年11月)

ウイルスの主な感染経路は2パターン

ネットバンキングウイルスの感染経路は主に2パターンあって、2番目の感染被害が特に多いと思われます。

偽メール経由でウイルス感染!

著名な企業を名乗り不特定多数にバラ撒かれる英語表記の偽メールが手元にやってくるパターンです。

”日本語の壁”がありますが、自分と何かしら関わりのある企業だと引っかかる確率が上がるのは言うまでもありません。

メール内の誘導URLをポチッとクリックした瞬間に強制感染ドライブバイ・ダウンロード攻撃

メール本文中に登場する あらゆるリンクがドライブバイ・ダウンロード攻撃を行うウイルスサイトっ!!! Σ( ̄ロ ̄lll)

アップル?
ウイルスサイトへクリックを誘うApple Inc.(アップル)を装った偽メール
ペイパル?
ウイルスサイトへクリックを誘うオンライン決済会社PayPal(ペイパル)を装った偽メール
フェイスブック?
ウイルスサイトへクリックを誘うソーシャル・ネットワークFacebook(フェイスブック)を装った偽メール
フェデックス?
ウイルスサイトへクリックを誘う国際運送会社FedEx(フェデックス)を装った偽メール
米アマゾン?
ウイルスサイトへクリックを誘うショッピングサイトAmazon.com(アマゾン)を装った偽メール
バンカメ?
ウイルスサイトへクリックを誘う米銀行Bank of America(バンク・オブ・アメリカ、バンカメ)を装った偽メール
アメックス?
ウイルスサイトへクリックを誘うクレジットカード会社American Express Company(アメリカン・エキスプレス)を装った偽メール
UPS?
ウイルスサイトへクリックを誘う国際運送会社United Parcel Service/UPSを装った偽メール

メールに添付されてる実行ファイルを手動で起動して感染 ⇒ ユーザーの自爆

ネット銀行ウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (254 KB) . オンライン銀行ウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (238 KB)
ネットバンクウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (363 KB) . ネットバンクマルウェア! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (238 KB)
ネット銀行不正送金被害ウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (364 KB) . ネット銀行不正送金ウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (364 KB)
ネットバンキングウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (363 KB) . ネットバンクウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (350 KB)
文書・画像アイコンの偽装は定番! もちろんファイルの拡張子はちゃんと表示するよう設定してあるよネ! (^ー^)b

偽メールから偽銀行サイトへ誘導するフィッシング詐欺も ⇒ ユーザーの自爆

不正送金するためにパスワードやIDなどの利用者情報を盗み取る手口は時期によって変遷している。
6〜9月ごろは、銀行を装ったメールを利用者に送りつけて偽サイトに誘導して、利用者情報を入力させるタイプのフィッシングが主流だった。しかし10〜11月には、銀行の正規サイトを開いた後、利用者情報を入力させる不正なポップアップ画面を表示する手口に移行。 (毎日新聞、2012年12月)

ウイルスはまったく関係ないですが、銀行を名乗る日本語表記の偽メールが不特定多数にバラ撒かれる典型的なフィッシング詐欺も依然として存在します。


サイト経由でウイルス感染!

といった感じで知らないうちに強制感染するパターンです。 ⇒ ドライブバイ・ダウンロード攻撃

【サイト閲覧で感染】 ネット銀行不正送金ウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (354 KB) | webinjects.txt . 【ドライブバイダウンロード攻撃】 ネット銀行グウイルス! Windowsパソコンに感染するトロイの木馬ウイルス Zeus/Zbot (320 KB) | webinjects.txt
日本の改ざんサイト経由でばら撒かれてるダウンローダ型マルウェア Fareit(Tapfer) が落としこんだ Zeus/Zbot

企業や個人が管理してる正規サイトが悪意のある第三者にハッキングされウイルスサイト化… 広告配信サーバーが殺られてしまう事例も報告されてます。

世界中で日常茶飯事に起こってる脅威なのに、いまだに「危険なサイトを見ない」とか「怪しいリンクをクリックしない」といった無理難題が通用すると思ってませか? (ーー;)

第三者に改ざんされウイルスサイト化してしまった一般サイト! Googleセーフブラウジング「このサイトはコンピュータに損害を与える可能性があります」
Googleの検索結果に警告情報がっ! 改ざんされウイルスサイト化してしまってる”怪しい”一般サイト

『ウイルス感染するのはエッチなアダルトサイトを見てるユーザーだけ! m9(^Д^) 』なんて考えがあるなら、「改ざん お詫び」で検索し戦慄してください。

ドライブバイ・ダウンロード攻撃によるウイルス感染を回避する対策

ネットバンキングウイルスの感染経路の1つとなってるサイト閲覧で強制感染(ドライブバイ・ダウンロード攻撃)は、下の4条件のうち1つ以上当てはまったWindowsパソコンのみ影響があります。 (^O^)b

  1. Java を旧バージョンのまま放置してる
  2. Adobe Reader を旧バージョンのまま放置してる
  3. Flash Player を旧バージョンのまま放置してる
  4. Windows Update が行われてない

そんなこんなでネットバンキングウイルスを知らずに飼ってるユーザーさんはこんな感じ!

逆に言うと、下のようにウイルス対策バッチリにしておけば被害にあう確率が激減します。ポイントは『ウイルスサイトは運悪く踏んでしまう!』を大前提にした対応をやっておくことです。 (^ー^)v

  1. 危険な Java は別にいらないのでアンインストール(削除)してある
     or Java はちゃんと最新版に更新してある
  2. Adobe Reader はちゃんと最新版に更新してある
  3. Flash Player はちゃんと最新版に更新してある
  4. Windows Update は毎月実施されてる

ちゃんと最新版に更新できてますか? 無料バージョン確認ツールで最強ウイルス対策♪

ネットバンクウイルスの対策としてセキュリティソフトの購入を誘うだけのページに注意!

セキュリティソフトを導入しても、肝心のウイルス感染経路はまったくふさがらず、根本的なウイルス対策になりません!

こんなユーザーがウイルス感染の餌食にっ!!!

・・・ってことで、たとえば下のようなユーザーさんはZeus/ZbotやSpyEyeを始め、偽セキュリティソフトランサムウェアなどのいろんな脅威を阻止できないリスクを常に背負ってることになるワケです。

  1. 出所が分からない作者不明なファイルを安易にバンバン開いちゃう危機感欠如ユーザーさん
  2. 非現実的な『怪しいリンクはクリックしない♪』『危険なサイトに行かない♪』を口に出して唱える自信過剰ユーザーさん
  3. ウイルス対策が「セキュリティソフトの導入」と「Windows Updateの実施」だけで終わってる平和ボケユーザーさん
  4. あろうことかWindowsパソコンセキュリティソフトを導入してない非常識ユーザーさん

4番はまだしも、3番ようなユーザーさんも感染被害に巻き込まれます。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

ドライブバイ・ダウンロード攻撃を確実に回避する脆弱性対策はできてますか?

あなたのWindowsパソコンにインストールされてるであろうこのような対策ソフトたちは、この対策をユーザーに代わってやらないので、感染経路が開いてる状態だと『知らないうちにウイルスが住み着いてる』な〜んてなトンでも状態が起こっちゃう!

警察庁「インターネットバンキングに係る不正送金事案への対策について」PDFファイル

  1. ウイルス対策ソフトを導入する
  2. パソコンのOSや各ソフトウェアを最新の状態にする ← これがてきてないユーザーさんに悲劇が…
  3. ワンタイムパスワードを利用する
  4. 不審な入力画面等発見した場合は金融機関等に通報する

PR 1ポイント1円相当のTポイントが毎日抽選で当たるぅ〜! 無料のYahoo!ポイントくじにチャレンジしましょー!

関連キーワード統計情報
[ネット銀行 偽画面] [不正送金 偽画面] [不正送金 Java] [不正送金 ウイルス 感染経路] [暗証番号 ウイルス] [ネット 不正送金] [不正送金事件 ウイルス] [ホームページ閲覧 不正送金] [サイト閲覧 感染 不正送金] [インターネットバンキング ウイルス] [ネットバンク 被害] [ネットバンキング 被害] [ネットバンク 危険] [ワンタイムパスワード ウイルス] [ネット銀行 マルウェア] [ネット銀行 危険性] [ネットバンキング ウイルスソフト] [ネットバンキング ウイルス対策] [ネットバンクウイルス 感染経路] [ゼウス 感染経路] [MiTB攻撃] [マン・イン・ザ・ブラウザ攻撃] [ゼウス ウイルス] [スパイウェア ネットバンク] [スパイアイとは] [スパイアイ 感染経路] [スパイアイ 口座ウイルス] [スパイアイ対策 ソフト] [Trojan-Spy.Win32.Zbot ウイルス] [Zbot トロイ] [Win32/Zbot ウイルス] [PWS:Win32/Zbot ウイルス] [TSPY ZBOT ウイルス] [PWS-Zbot ウイルス] [TROJ_ZBOT ウイルス] [Win32/Spy.Zbot.AAO ウイルス] [TSPY64_ZBOT ウイルス] [BlackHole BHEK 悪用ツールキット] [Blackhole Exploit Kit] [Nuclear Pack エクスプロイトキット] [Neutrino エクスプロイトキット] [Citadel ウイルス] [Man in The Browser] ・・・

= Windowsパソコンのウイルス&セキュリティ関連サービス =
無料ウイルス駆除ツール Microsoft Safety Scanner | 無料ウイルス駆除ツール Malwarebytes Anti-Malware

雑記 > Zbot SpyEye Vawtrakウイルス


Copyright © 2016 Let's Emu!. All rights reserved.